Re­tours d’ex­pé­riences

• Avi­va, Bouygues Im­mo­bi­lier, Ville de Lyon, Ma­nu­tan…

IT for Business - - LA UNE -

Des con­nexions à l’ap­pli­ca­tion de comp­ta­bi­li­té en pleine nuit, des ten­ta­tives de chan­ge­ment de droits d’ac­cès ou en­core des trous dans les pare-feu…. Tout ce­la, le res­pon­sable de la sé­cu­ri­té du sys­tème d’in­for­ma­tion — RSSI — du conseil régional d’île-de-france le consta­tait, mais le plus sou­vent après coup. Dans ce contexte, une so­lu­tion don­nant une vi­si­bi­li­té à 360 ° du ré­seau et per­met­tant de ré­agir ra­pi­de­ment pour évi­ter que ce type d’in­ci­dents ne se re­pro­duise de­ve­nait in­dis­pen­sable.

Le conseil régional compte en­vi­ron 10 000 agents, 3 000 tra­vaillant au sein de l’ad­mi­nis­tra­tion centrale, les 7 000 autres étant ré­par­tis dans les ly­cées, dont la ré­gion a la charge. « La pre­mière fonc­tion de la ré­gion est de dis­tri­buer des sub­ven­tions. Un rôle qui im­pose d’ou­vrir le sys­tème d’in­for­ma­tion sur l’ex­té­rieur », rap­pelle Na­dir Soua­beg, son RSSI. L’in­fra­struc­ture est vir­tua­li­sée sous Vm­ware avec 300 ma­chines vir­tuelles dans le da­ta­cen­ter hé­ber­gé au sein du conseil régional. Il est lo­ca­li­sé au­jourd’hui aux In­va­lides et se­ra dé­pla­cé en 2018 à Saint-ouen. L’in­fra­struc­ture est clas­si­que­ment ré­par­tie en trois en­vi­ron­ne­ments : pro­duc­tion, pré-pro­duc­tion, tests-qua­li­fi­ca­tion. La sé­cu­ri­té du SI est as­su­rée entre autres par deux fi­re­walls. Un pre­mier en fron­tal, four­ni par Pa­lo Alto Net­works, gère tous les ac­cès ex­té­rieurs liés à l’ex­tra­net des­ti­né aux agents de la ré­gion et au pu­blic. Le se­cond (For­ti­net) est dé­dié au coeur de ré­seau. Il sé­pare les flux des postes uti­li­sa­teurs, agents, ser­veurs et les dif­fé­rents ser­vices de la ré­gion. En com­plé­ment de ces deux ou­tils, des re­verse proxies prennent en charge le chif­fre­ment

Il est tou­jours ris­qué d’ins­tal­ler un agent sur un équi­pe­ment de pro­duc­tion » Na­dir Soua­beg, RSSI

SSL. Des équi­pe­ments de fil­trage URL et des so­lu­tions an­ti­spam-an­ti­vi­rus Iron­port com­plètent ce dis­po­si­tif. La mes­sa­ge­rie, Ex­change, est ins­tal­lée « on pre­mise » pour l’interne, tan­dis qu’of­fice 365 est four­nie aux agents tra­vaillant dans les ly­cées. Le ré­seau est consti­tué d’équi­pe­ments Cis­co et les pe­tits sites lo­ca­li­sés au­tour des In­va­lides sont re­liés par fibre op­tique au site cen­tral.

Cet exis­tant re­pré­sente un sys­tème d’in­for­ma­tion com­po­site. L’in­fo­gé­rance sur site gère tout l’en­vi­ron­ne­ment de pro­duc­tion : ad­mi­nis­tra­tion, ex­ploi­ta­tion, sé­cu­ri­té, main­tien opé­ra­tion­nel. Elle est as­su­rée par un consor­tium Thales-spie, le pre­mier pour l’ad­mi­nis­tra­tion, le se­cond pour le help desk et la hot line pour les uti­li­sa­teurs. L’en­vi­ron­ne­ment de pré-pro­duc­tion est de son cô­té gé­ré par des chefs de pro­jets.

Jusque mi-2016, « j’avais peu de vi­si­bi­li­té sur ce qui se pas­sait sur le SI de la ré­gion. Nous n’avions pas réel­le­ment d’ou­tils, et en­core moins la pos­si­bi­li­té de créer des ta­bleaux de bord pour faire des comptes ren­dus. Or le nou­veau di­rec­teur gé­né­ral des ser­vices sou­hai­tait avoir un rap­port ré­gu­lier sur l’état de san­té du SI. Nous avions bien un sys­tème de col­lecte de logs, mais il fal­lait faire des re­cherches. C’était long et ce­la né­ces­si­tait de pas­ser par des lignes de com­mande » , ré­sume Na­dir Soua­beg. Le RSSI de­vait en ef­fet uti­li­ser cha­cun des ou­tils four­nis par les dif­fé­rents four­nis­seurs, et pré­ve­nir l’in­fo­gé­rant en charge de la pro­duc­tion. L’idée est alors de trou­ver un ou­til ca­pable de ré­cu­pè­rer tous les logs, ac­ces­sible de­puis une in­ter­face unique et qui per­mette de créer as­sez ra­pi­de­ment un ta­bleau de bord ou un rap­port. Et ce, en temps réel. La so­lu­tion de­vait aus­si être ca­pable de re­pé­rer les dé­faillances du SI et les pro­blèmes de confi­gu­ra­tion.

L’ap­pel d’offres est lan­cé en juillet 2016, et le mar­ché est si­gné en sep­tembre de la même an­née. Le choix de la so­lu­tion s’est opé­ré en fonc­tion de plu­sieurs cri­tères — au­cun n’étant éli­mi­na­toire —, à sa­voir la va­leur fonc­tion­nelle, la cer­ti­fi­ca­tion, l’ins­tal­la­tion-in­té­gra­tion, la main­te­nance et le prix. Sur ce der­nier point, le ser­vice mar­ché et le ser­vice ju­ri­dique ont eu leur mot à dire. « Nous au­rions pu pas­ser par L’UGAP, la centrale d’achat pour le sec­teur pu­blic, mais j’ai pré­fé­ré faire un ap­pel d’offres pour dé­fi­nir un contrat avec la so­cié­té qui pour­rait nous suivre et as­su­rer le bon

dé­rou­le­ment de la mise en oeuvre » , ajoute Na­dir Soua­beg.

Trois ac­teurs ré­pondent à l’ap­pel d’offres. Les trois so­lu­tions s’avèrent à peu près équi­va­lentes aux ni­veaux fonc­tion­nel et tech­nique. C’est la so­lu­tion de cy­ber­sé­cu­ri­té Kee­naï Re­port pré­sen­tée par GFI In­for­ma­tique qui rem­porte le mar­ché. Celle-ci pré­sen­tait l’avan­tage d’être construite sur des briques open source, ce qui per­met­tait au conseil régional de les réuti­li­ser pour d’autres pro­jets. La so­lu­tion est par ailleurs fran­çaise et est cer­ti­fiée par l’anssi. Elle ne né­ces­site pas d’ins­tal­ler des agents sur chaque ap­pliance, ce qui évite les pertes de per­for­mances. « Il est tou­jours ris­qué d’ins­tal­ler un agent sur un équi­pe­ment de pro­duc­tion. Et par­fois, nous n’y avons pas ac­cès, car son sys­tème d’ex­ploi­ta­tion est pro­prié­taire » , rap­pelle Na­dir Soua­beg. La col­lecte des logs est pas­sive donc trans­pa­rente pour l’équi­pe­ment concer­né, ce qui était là aus­si une pré­co­ni­sa­tion de l’anssi. Le coût de la so­lu­tion s’éta­blit à 25000 eu­ros, pour l’in­té­gra­tion de cinq sondes.

De­puis le mois de jan­vier, Na­dir Soua­beg a pu dé­mon­tré l’uti­li­té de la so­lu­tion. « Nous avons consta­té pas mal de pro­blèmes de confi­gu­ra­tion, sur les fi­re­walls no­tam­ment. Autre point, nous avons dé­tec­té de nom­breux échecs de connexion sur l’ac­tive Di­rec­to­ry » , af­firme-t-il. L’in­ter­face s’est ré­vé­lée er­go­no­mique, per­met­tant de voir en un seul coup d’oeil les in­for­ma­tions per­ti­nentes (URL blo­quées, re­quêtes stop­pées par le fi­re­wall… et ce en temps réel) et de créer des rap­ports au for­mat PDF. La pres­ta­tion d’ins­tal­la­tion fut convain­cante, et GFI In­for­ma­tique a ac­com­pa­gné la ré­gion dans toutes ses de­mandes. « Ils nous ont aus­si for­més pour pou­voir par la suite in­té­grer nous-mêmes n’im­porte quel type d’équi­pe­ment dans la so­lu­tion » , ajoute le RSSI. La for­ma­tion a du­ré une jour­née, cinq per­sonnes, dont l’in­fo­gé­rance — pour qu’elle puisse in­ter­ve­nir en cas de pro­blème — y ont par­ti­ci­pé. Cinq sondes ont été ins­tal­lées pour dif­fé­rents équi­pe­ments : fi­re­wall, équi­pe­ments an­ti­spam et an­ti­vi­rus, fil­trage D’URL, ser­veur AD et re­verse proxy. « J’ai ajou­té des in­di­ca­teurs sta­tis­tiques sur l’uti­li­sa­tion de nos ex­tra­nets ain­si que sur cer­taines ap­pli­ca­tions in­ternes (ges­tion des congés...). J’ai ajou­té aus­si des in­di­ca­teurs sur l’ac­cès à la mes­sa­ge­rie de­puis l’ex­té­rieur à par­tir de ter­mi­naux mo­biles, pour sa­voir quel type d’équi­pe­ment (ip­hone, An­droid) était em­ployé » , re­late Na­dir Soua­beg.

Dans un fu­tur proche, le RSSI compte amé­lio­rer la ges­tion des alertes sur les ap­pli­ca­tions sen­sibles de la ré­gion, la paye no­tam­ment, pour dé­ter­mi­ner s’il y a eu des échecs d’au­then­ti­fi­ca­tion, des élé­va­tions de pri­vi­lèges sur cer­tains comptes, afin de re­pé­rer si cer­taines per­sonnes ont ten­té d’ac­cé­der à une ap­pli­ca­tion alors qu’elles n’en n’ont pas les droits. À moyen terme, le RSSI compte faire évo­luer l’ou­til vers une so­lu­tion de type SIEM ( se­cu­ri­ty in­for­ma­tion ma­na­ge­ment sys­tem). Cette pos­si­bi­li­té était aus­si un cri­tère de choix. Sans comp­ter le gros pro­jet de té­lé­tra­vail que met en place la ré­gion Île-de-france, des­ti­né à plus de 1 000 per­sonnes, et qui de­man­de­ra une sé­cu­ri­té à toute épreuve. Plus de doute, la sé­cu­ri­té est dé­sor­mais une vraie com­po­sante du SI du conseil régional. •

Pierre Ber­le­mont

LA SO­LU­TION SE­RA ÉTEN­DUE À D’AUTRES AP­PLI­CA­TIONS

Le conseil régional d’île-deF­rance prendra ses quar­tiers à Saint-ouen dé­but 2018.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.